本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解 AWS 托管微软 AD 密码策略
AWS Microsoft AD 托管允许您为在托管 M AWS icrosoft AD 域中管理的用户组定义和分配不同的[密码和帐户锁定策略(也称为细粒度密码策略](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt))。创建 AWS 托管 Microsoft AD 目录时,会创建默认域策略并将其应用于活动目录。此策略包含以下设置:
****
| Policy | 设置 |
| --- | --- |
| 强制密码历史 | 记住 24 个密码 |
| 最长密码使用期限 | 42 天 \$1 |
| 最短密码使用期限 | 1 天 |
| 最短密码长度 | 7 个字符 |
| 密码必须符合复杂性要求 | 已启用 |
| 使用可逆加密存储密码 | 已禁用 |
**注意**
\$1 42 天的最长密码使用期限包括管理员密码。
例如,对于仅有权访问敏感度不高的信息的员工,您可以设置较为宽松的策略设置。对于定期访问机密信息的高级经理,您可以应用更严格的设置。
以下资源提供了有关 Microsoft Active Directory 精细密码策略和安全策略的更多信息:
+ [配置安全策略设置](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [密码复杂性要求](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [密码复杂性安全注意事项](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS 在托管 AWS Microsoft AD 中提供了一组精细的密码策略,您可以对其进行配置和分配给您的群组。要配置策略,您可以使用标准的 Microsoft 策略工具,例如 [Active Directory 管理中心](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center)。要开始使用 Microsoft Microsoft 策略工具,请参阅[为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md)。
## 密码策略的应用方式
精细密码策略的应用方式存在差异,具体取决于密码是重置的还是更改的。域用户可以更改自己的密码。Active Directory 管理员或具有必要权限的用户可以[重置用户密码](ms_ad_manage_users_groups_reset_password.md)。有关更多信息,请参阅以下图表。
****
| Policy | 密码重置 | 密码更改 |
| --- | --- | --- |
| 强制密码历史 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-no.png)否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 最长密码使用期限 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 最短密码使用期限 | ![\[No\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-no.png)否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 最短密码长度 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密码必须符合复杂性要求 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
这些差异具有安全影响。例如,无论何时重置用户的密码,都不会强制使用强制密码历史策略和最短密码使用期限策略。有关更多信息,请参阅 Microsoft 文档,了解与[强制密码历史](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations)和[最短密码使用期限](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations)策略相关的安全注意事项。
## 支持的策略设置
AWS 托管 Microsoft AD 包括五个具有不可编辑优先级值的细粒度策略。这些策略具有各种属性,您可以配置这些属性,在出现登录失败的情况下实施密码强度和账户锁定操作。您可以将策略分配给零个或多个 Active Directory 组。如果最终用户是多个组的成员并接收多个密码策略,Active Directory 将会强制实施优先顺序值最低的策略。
### AWS 预定义的密码策略
下表列出了您的 AWS 托管 Microsoft AD 目录中包含的五个策略及其分配的优先级值。有关更多信息,请参阅 [优先级](#precedence)。
****
| 策略名称 | 优先级 |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### 密码策略属性
您可以编辑您的密码策略中的以下属性,以便符合合规性标准,从而满足您的业务需求。
+ 策略名称
+ [强制密码历史](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [最短密码长度](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [最短密码使用期限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [最长密码使用期限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [使用可逆加密存储密码](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [密码必须符合复杂性要求](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
您无法修改这些策略的优先顺序值。有关这些设置如何影响密码强制执行的更多详细信息,请参阅 M *ic TechNet* rosoft 网站上的 [AD DS:精细密码策略](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)。有关这些策略的一般信息,请参阅 *Microsoft TechNet* 网站上的[密码策略](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx)。
### 账户锁定策略
您还可以修改密码策略的以下属性,以指定 Active Directory 在登录失败时是否以及如何锁定账户:
+ 允许的最大失败登录尝试数
+ 账户锁定持续时间
+ 在一段持续时间后重置失败的登录尝试
有关这些政策的一般信息,请参阅 *Microsoft TechNet* 网站上的[帐户锁定政策](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx)。
### 优先级
策略的优先顺序值越小,优先级越高。您可以将密码策略分配给 Active Directory 安全组。虽然您应该将一个策略应用到一个安全组,不过单个用户可以接收多个密码策略。例如,假设 `jsmith` 是 HR 组的成员,同时还是经理组的成员。如果您将 **CustomerPSO-05** (优先顺序值为 50) 分配给 HR 组,将 **CustomerPSO-04** (优先顺序值为 40) 分配给经理组,则 **CustomerPSO-04** 具有更高的优先级,并且 Active Directory 会将策略应用于 `jsmith`。
如果您将多个策略分配给用户或组,Active Directory 将按照以下方式确定生成的策略:
1. 应用您直接分配给用户对象的策略。
1. 如果未直接向用户对象分配任何策略,由于组成员资格的原因,会应用该用户收到的所有策略中具有最低优先顺序值的策略。
有关更多详细信息,请参阅 M *ic TechNet* rosoft 网站上的 [AD DS:精细密码策略](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)。
**Topics**
+ [密码策略的应用方式](#how_password_policies_applied)
+ [支持的策略设置](#supportedpolicysettings)
+ [为你的 Microsoft AD AWS 托管用户分配密码策略](assignpasswordpolicies.md)
+ [委派谁可以 AWS 管理你的托管 Microsoft AD 密码策略](delegatepasswordpolicies.md)
**相关 AWS 安全博客文章**
+ [如何使用 AWS 托管 Microsoft AD 来配置更严格的密码策略 Directory Service 以帮助满足你的安全标准](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# 为你的 Microsoft AD AWS 托管用户分配密码策略
作为 **AWS 精细密码策略委托管理员**安全组成员的用户账户可以使用以下过程将策略分配给用户和安全组。
**为您的用户分配密码策略**
1. 从您加入托管的 Microsoft [AD 域的任何托管 EC2 实例启动 Active Directory AWS 管理中心 (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)。
1. 切换到 **Tree View**,然后导航到 **System\$1Password Settings Container**。
1. 双击您要编辑的精细策略。单击 **Add** 可编辑策略属性,并将用户或安全组添加到策略。有关随 AWS Managed Microsoft AD 一起提供的默认精细策略的更多信息,请参阅 [AWS 预定义的密码策略](ms_ad_password_policies.md#supportedpwdpolicies)。
1. 要验证密码策略是否已应用,请运行以下 PowerShell命令:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**注意**
避免使用 `net user` 命令,因为其结果可能不准确。
如果您未在 AWS 托管 Microsoft AD 目录中配置五个密码策略中的任何一个,则 Active Directory 将使用默认的域组策略。有关使用**密码设置容器**的其他详细信息,请参阅此 [Microsoft 博客文章](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)。
# 委派谁可以 AWS 管理你的托管 Microsoft AD 密码策略
您可以将密码策略管理权限委派给您在托 AWS 管 Microsoft AD 中创建的特定用户帐户,方法是将这些帐户添加到 “**AWS 委托精细密码策略管理员**” 安全组。当账户成为该组的成员时,该账户有权编辑和配置[前面](ms_ad_password_policies.md#supportedpwdpolicies)列出的任何密码策略。
**委托谁可以管理密码策略**
1. 从您加入托管的 Microsoft [AD 域的任何托管 EC2 实例启动 Active Directory AWS 管理中心 (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)。
1. 切换到**树视图**,然后导航到 **AWS 委托组** OU。有关此 OU 的更多信息,请参阅 [用你的 AWS 托管 Microsoft AD 创建了什么](ms_ad_getting_started_what_gets_created.md)。
1. 查找 **AWS 精细密码策略委托管理员**用户组。将任何用户或组从您的域添加到该组。